三、相关法律/法规
《网络交易管理办法》第十八条规定:网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
2013年中国人民银行发布的《银行卡收单业务管理办法》第二十八条:“收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息,并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息”
2008年中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》命令禁止本地保存银行卡信息:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
《快递市场管理办法》规定:快递企业、快递从业人员不得违法泄露在从事快递服务过程中知悉的用户信息。违反该条款的,按《邮政法》相关条文予以处罚,即邮政企业、快递企业违法提供用户使用邮政服务或者快递服务的信息,尚不构成犯罪的,由邮政管理部门责令改正,没收违法所得,并处1万元以上5万元以下的罚款;对邮政企业直接负责的主管人员和其他直接责任人员给予处分;对快递企业,邮政管理部门还可以责令停业整顿直至吊销其快递业务经营许可证。
四、专家观点:
对此,中国电子商务研究中心特约研究员、浙江金道律师事务所张延来律师认为:
——非法收集用户信息并导致泄密的或将面临行政处罚!
从携程对CVV码的收集和保留是否满足“合法性”原则的要求存在较大疑问;另外,从“必要性”原则的要求来看,收集和保留CVV码算不算是携程为用户提供服务所“必要”,也存在一定争议。因此,对于违法行为的确定性结论,最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。
法律要求网站收集和使用用户信息应当遵循“合法、正当、必要”三原则,对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。
网络支付安全与效率历来是“鱼和熊掌,不可兼得”,建议网络用户在进行电子支付时一定要遵循“安全第一”的原则,选择安全措施较多的支付方式;小额支付如果考虑到快捷的需要应当尽可能在一些比较知名的网站上完成或选择第三方支付工具。
对此,中国电子商务研究中心特约研究员、浙江泽大律师事务所付勇勇律师认为:
——因商家过失导致消费者经济损失的理应赔偿
根据《消费者权益保护法》的规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。另外,《网络交易管理办法》也有相同的规定。如果由于携程网的过失,导致消费者经济损失的,理应承担相应的赔偿责任。
对此,中国电子商务研究中心特约研究员、浙江六和律师事务所合伙人王红燕认为:
——携程有不可推卸责任,还需承担风险客户换卡成本
保护用户信息安全,携程有不可推卸的义务和责任,应详细公布漏洞产生的原因、时间,并提示用户可能的风险,同时详细说明为什么会出现这样的问题。经过这些分析后,确定了用户可能有的风险后,还应建议用户如何规避或者降低风险以及风险发生后携程能够为这些用户做些什么。除了对已经有损失的用户承担赔偿责任,还需承担风险客户换卡成本。
对此,中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞认为:
——违反银联规定承担完全责任,监管部门应彻查
根据民法上的归责原则,银行卡用户资料被泄密,携程不仅应承担完全责任,由于其违反了银联的规定,还应接受监管部门的处罚。监管部门应彻查携程此次事件,并将所彻查情况公之于众,同时应要求携程在短时间内有一系列的有效诚恳的应对措施,以保障用户信用卡的安全。
由此让人深思的是,技术上,信用卡的安全能否有其他更高更隐秘的保护手段?监管部门能否强制约束商家禁止记录用户的CVV码?一旦记录将有非常严厉的制裁措施?
对此,中国电子商务研究中心特约研究员、辽宁亚太律师事务所董毅智律师认为:
——携程泄密的后果可能比CSDN泄密事件的后果要严重
类似携程的泄密事件绝非个例。后有携程,前有CSDN。只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重。在CSDN事件之后,无论是用户,还是网站平台,对于用户的个人信息安全问题,是互联网发展的硬伤。如此严重的教训后不过两年光景,携程在同一块石头上在次绊倒,典型的“天作孽,犹可恕,自作孽,不可活”。
——携程事件,剑指泄密法律空白
按照《消法》的规定,消费者在消费中享有安全权。携程明文保存用户密码信息的违规操作,违反银联规定,将用户的安全置于危险之地,用户的损失与携程脱不了干系。
携程泄密事件,在法律层面,带给我们更多的是反思和警醒。关于用户信息安全,相关法律是否完善?网络安全中的刑事、行政、民事等各类法律关系能否界定?执法主体本身是否明确?用户信息泄露的归责怎样?被泄密的用户损失如何界定?相关主体是否提供了公平、安全的行为准则?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?诸如此类的疑问,已经成为现时亟待回答的问题,这也已经足够给各个部门敲响维护用户信息安全的警钟。
对此,国内知名网购维权专家、中国电子商务研究中心法律与权益部姚建芳助理分析师认为:
——信息安全无小事,忽视必然付出惨重代价
针对广大互联网企业,包括网络购物企业,网络团购企业、网络支付企业、虚拟商品交易企业都能够重视用户信息安全问题,加强相关的数据安全保护、技术监管以及内部管理。,防止任何形式的信息泄露。一旦出现信息安全问题,尽早补救,以防事态严重,一发不可收拾。同时,一旦有可能威胁用户信息安全,应第一时间告知用户,并且主动承担责任,给以相应的赔偿。
监管部门,加强对互联网、电商、快递行业的监管,细化个人信息保护相关法律法规,做到完善立法,严格执法。
——用户增强信息保护意识,网络支付需谨慎
1、对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。不要回复或者点击邮件的链接。如果想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。
2、留意网址。多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。
3、避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。
4、使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。
5、不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。
6、鉴于近来频频出现用户网银被盗等问题,建议最好有单独银行卡开通网银供网络消费使用,同时网银尽量不要选择工资卡等存款较多的银行卡。
五、典型案件
根据中国电子商务投诉与维权公共服务平台(www.100ec.cn/zt/315/ )近年来接到的用户投诉以及对监测,盘点近年来电商行业内出现的用户信息安全事件如下:
事件一:5173中国网络服务网数次被“盗钱”。2010年1月20日,涉嫌盗窃罪的李豪被兰溪市检察院批准逮捕。经查,李豪前后一共盗取了100多个5173网站的账号,共获得赃款12万余元人民币。不法分子先在网上找寻有出售游戏币和游戏装备信息的5173网络账号,通过简单交易获知信息,再推算出网络账号密码,从而实施网上盗窃。
<<上一页[1][2][3]下一页>>
